No fim de maio de 2026, o BCE alertou que a IA Claude Mythos Preview descobriu 1.596 vulnerabilidades de software — mais de 99% sem correção — e deve ser tratada como risco ativo e urgente até por bancos sem acesso di... O BCE convocou executivos para uma reunião de emergência e pediu que bancos dos EUA compartilhem...

Create a landscape editorial hero image for this Studio Global article: What cybersecurity warnings did the European Central Bank issue to euro zone banks in late May 2026 regarding AI-powered threats, and what s. Article summary: Here is a comprehensive breakdown of the ECB's late-May 2026 cybersecurity warnings and the specific concerns raised about Anthropic's Claude Mythos Preview model.. Topic tags: general, news, general web, user generated, government. Reference image context from search candidates: Reference image 1: visual subject "A European Central Bank official wants bankers to test their infrastructure for artificial intelligence-related threats. “Recent developments in artificial intelligence force us to" source context "ECB Governor Sounds Warnings on AI and Stablecoins" Reference image 2: visual subject "### The Dutch member of the ECB's executive board, Frank Elderson, w
No fim de maio de 2026, o Banco Central Europeu (BCE) abandonou seu tom habitualmente comedido e enviou um recado direto e urgente ao setor financeiro da zona do euro: um modelo específico de inteligência artificial havia transformado por completo o cenário de ameaças cibernéticas, e o tempo dos ciclos normais de atualização de segurança havia acabado.
O modelo em questão é o Claude Mythos Preview, da Anthropic. Trata-se de um sistema tão competente em encontrar e explorar vulnerabilidades de software que seus próprios criadores restringiram o acesso público. O alerta do BCE não era hipotético. Até a data das reuniões, o Mythos já havia descoberto 1.596 falhas do tipo zero-day em 281 projetos de código aberto — e apenas 97 haviam sido corrigidas . A própria Anthropic relatou que mais de 99% das vulnerabilidades encontradas permaneciam sem correção, o que tornava a divulgação pública irresponsável
.
O cerne da mensagem do BCE, transmitida em uma série de interações cada vez mais intensas com as instituições financeiras, foi que todos os bancos devem tratar o Mythos como um risco ativo e corrigir seus sistemas agora, independentemente de terem acesso direto ao modelo . Este artigo detalha as preocupações específicas, o tenso pano de fundo geopolítico e o impasse regulatório que definiram a crise.
O vice-presidente do BCE, Luis de Guindos, resumiu a nova realidade em 27 de maio, afirmando a jornalistas que os bancos precisam “investir mais em segurança cibernética se quiserem controlar os novos modelos de IA capazes de encontrar falhas em softwares” . Dias antes, Frank Elderson, vice-presidente do conselho de supervisão do BCE, havia sido ainda mais direto, caracterizando a mudança em termos operacionais: “A capacidade cibernética autônoma dos modelos de fronteira está avançando rapidamente. A duração das tarefas cibernéticas que os modelos de fronteira conseguem concluir de forma autônoma dobrou em questão de meses”
.
Duas capacidades específicas acionaram o alarme. A primeira: a detecção de vulnerabilidades pelo Mythos operava em uma escala e velocidade que tornavam obsoletas as ferramentas de segurança tradicionais e os ciclos manuais de correção. Ele identificou milhares de falhas em centenas de projetos mais rápido do que qualquer equipe humana ou scanner convencional conseguiria . A segunda, e mais preocupante: o modelo demonstrou uma capacidade ofensiva de uso duplo — não apenas encontrava falhas, mas também gerava códigos de exploração (exploits) funcionais para elas, com uma taxa de sucesso na primeira tentativa superior a 83%, segundo algumas avaliações
.
Essa combinação significava que agentes mal-intencionados — fossem grupos patrocinados por Estados ou criminosos sofisticados — poderiam, em tese, usar ferramentas de IA semelhantes para vasculhar a infraestrutura bancária, identificar vulnerabilidades não corrigidas e lançar ataques antes que as instituições pudessem reagir. O BCE concluiu que o prazo para a defesa precisava mudar de semanas ou meses para horas ou minutos .
Talvez o aspecto mais incomum da mensagem do BCE tenha sido a resposta preventiva a um argumento que o regulador sabia que os bancos usariam: “Não temos acesso ao Mythos, então como podemos nos defender dele?”
A resposta de Elderson foi inequívoca. “A falta de acesso não é desculpa para a inação. Pelo contrário, torna ainda mais crítico que os bancos se reforcem e ajam agora”, declarou em entrevista no dia 13 de maio . No fim do mês, a mensagem havia se transformado em uma diretriz operacional: acelerem a implementação de correções de software. O regulador enfatizou a “gravidade da ameaça ao sistema financeiro” e pressionou as instituições a agilizarem a proteção de seus sistemas de TI, tratando o modelo como um risco ativo, independentemente de seu próprio status de acesso
.
As ações do BCE na primavera de 2026 revelam um regulador correndo para entender e conter uma ameaça que superava seu arsenal de supervisão existente.
A sequência revela uma progressão da coleta de informações para a pressão operacional. Na última semana de maio, o BCE já não perguntava o que os bancos sabiam; ele dizia o que eles deveriam fazer.
No centro da crise está o Projeto Glasswing, o programa de distribuição controlada da Anthropic. Em vez de lançar o Mythos publicamente, a empresa concedeu acesso a um consórcio restrito de parceiros de infraestrutura crítica — incluindo grandes bancos dos EUA, como JPMorgan Chase e Bank of America — que pudessem usar o modelo para encontrar e corrigir falhas em seus próprios sistemas .
Os bancos europeus foram, em grande parte, excluídos. Isso criou uma forte assimetria de informação: as instituições americanas podiam sondar seus sistemas com a IA de segurança cibernética mais avançada já construída, enquanto os bancos europeus permaneciam cegos para as mesmas vulnerabilidades que o Mythos poderia expor e, potencialmente, que adversários poderiam explorar .
A resposta do BCE foi pedir aos bancos dos EUA com operações na zona do euro que compartilhassem, voluntariamente, inteligência sobre ameaças e percepções de mitigação aprendidas por meio do Glasswing com seus pares europeus . Foi um pedido extraordinário — solicitar a concorrentes comerciais que superassem uma lacuna de acesso geopolítico por meio da cooperação voluntária.
A lacuna de acesso persistiu porque as negociações de alto nível entre a UE e a Anthropic haviam oficialmente estagnado no fim de maio de 2026. O ministro da Economia da Espanha, Carlos Cuerpo, confirmou antes de uma cúpula de chefes de finanças da UE, em 22 de maio, que “infelizmente, houve progresso limitado nessa área” . Apesar de várias reuniões entre a Anthropic e autoridades da UE, fontes relataram que não houve “nenhuma conversa direta sobre dar acesso ao Claude Mythos a entidades europeias”, levantando o que um veículo de imprensa chamou de “fortes temores de segurança cibernética para o continente”
.
A posição da Anthropic era deliberada. A empresa afirmou que as capacidades ofensivas de segurança cibernética do Mythos justificavam limitar o lançamento público para evitar o uso indevido e indicou planos de oferecer acesso a bancos europeus “em breve”, já em abril de 2026. Porém, até o fim de maio, nenhum acordo concreto havia se materializado .
A frustração era agravada pela realidade regulatória. O Artigo 92 da Lei de IA da UE, que concede à Comissão Europeia acesso a modelos de IA de risco sistêmico para avaliação, estava em vigor desde agosto de 2025. Contudo, os poderes de execução compulsória — incluindo a capacidade de impor multas nos termos do Artigo 101 — só seriam acionados em 2 de agosto de 2026 . Isso significava que o Gabinete de IA da UE podia solicitar acesso, mas não tinha uma alavanca legal forte para obrigá-lo justamente no período em que a ameaça parecia mais aguda.
Elderson expressou a situação difícil resultante de forma direta, sugerindo que a falta de acesso da UE tornava a situação de segurança cibernética ainda pior: os bancos europeus não podiam usar a própria ferramenta que revela suas vulnerabilidades, enquanto seus rivais americanos podiam ativamente fortalecer suas defesas .
Os alertas do BCE no fim de maio marcam um divisor de águas na interseção entre a capacidade da IA e o risco à estabilidade financeira. No rescaldo imediato, os bancos da zona do euro correram para acelerar os ciclos de correção, enquanto as questões mais amplas permanecem sem solução. Será que a Anthropic concederá acesso aos europeus antes que a UE ganhe poderes de fiscalização em agosto? O compartilhamento voluntário de inteligência entre os bancos pode de fato fechar a lacuna? E, mais fundamentalmente, a arquitetura de regulação financeira — projetada para uma era de ameaças na velocidade humana — é adequada para um mundo onde os modelos de IA podem encontrar e explorar falhas mais rápido do que as instituições conseguem corrigi-las?
Por ora, a instrução do BCE é inequívoca: corrijam agora, compartilhem o que sabem e partam do princípio de que a ameaça está ativa. O relógio, na avaliação de Elderson, já está correndo.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
No fim de maio de 2026, o BCE alertou que a IA Claude Mythos Preview descobriu 1.596 vulnerabilidades de software — mais de 99% sem correção — e deve ser tratada como risco ativo e urgente até por bancos sem acesso di...
No fim de maio de 2026, o BCE alertou que a IA Claude Mythos Preview descobriu 1.596 vulnerabilidades de software — mais de 99% sem correção — e deve ser tratada como risco ativo e urgente até por bancos sem acesso di... O BCE convocou executivos para uma reunião de emergência e pediu que bancos dos EUA compartilhem inteligência sobre ameaças, já que instituições europeias foram excluídas do programa Glasswing.
Negociações de alto nível para acesso europeu ao Mythos travaram oficialmente, e a UE só poderá obrigar a Anthropic a cooperar quando os poderes de fiscalização da Lei de IA entrarem em vigor, em 2 de agosto de 2026.